Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Faillites des « start-up Internet » : la vie privée est à vendre !

Publié le par

L’information relayée ces derniers jours sur le web à plutôt de quoi inquiéter les défenseurs de la vie privée : certaines start-up d’hier, aujourd’hui en faillite, espèrent combler leur déficit en vendant leurs fichiers de données personnelles. Qui n’a entendu parler de boo.com ou de toysmart.com ? Start-up adulées des boursicoteurs qui ont eu le…

L’information relayée ces derniers jours sur le web à plutôt de quoi inquiéter les défenseurs de la vie privée : certaines start-up d’hier, aujourd’hui en faillite, espèrent combler leur déficit en vendant leurs fichiers de données personnelles.

Qui n’a entendu parler de boo.com ou de toysmart.com ? Start-up adulées des boursicoteurs qui ont eu le flair d’y investir les premiers et surtout de se retirer à temps, ces sites de commerce électronique ont fait long feu et sont aujourd’hui en faillite, avec de gigantesques trous financiers à combler.

Pour rembourser les créanciers, ces sociétés ou leur curateur/liquidateur ont imaginé un nouveau moyen de financement : la vente des fichiers de données personnelles de leurs anciens clients. Il est vrai que ce genre de fichier vaut une fortune pour les sites concurrents et les entreprises de cybermarketing, et que les acheteurs devraient se presser au portillon. 
 
Pour ce qui concerne boo.com, la revente a déjà eu lieu sous forme de cession de l’intégralité des actifs, y compris les fichiers, à fashionmall.com. S’agissant de toysmart.com, filiale de Disney, le processus semble enclenché comme le suggère l’annonce suivante trouvée sur le site : « If you are interested in purchasing toysmart.com’s assets, please e-mail the information to [email protected] ». De là à penser que le fichier sera vendu aux enchères, il n’y a qu’un pas. D’autres faillites tout aussi retentissantes devraient donner lieu dans les prochaines semaines à des actions similaires. 
 
Quelques réflexions juridiques

Comme d’habitude dans ce genre de problème, la détermination du droit applicable prend toute son importance : on sait que outre-atlantique la protection des données personnelles est surtout assurée par des processus d’autorégulation, là où l’Europe s’est dotée d’un cadre juridique plus contraignant. 
 
Que faire en droit américain ?

Probablement pas grand chose, si ce n’est attirer l’attention des responsables européens qui négocient actuellement un accord sur les « Safe Harbour Principles », censés assurer une protection adéquate des données personnelles récoltées en europe et transférées ensuite aux USA (plus de détails prochainement dans notre rubrique « Dossiers » où un article concernant les Safe Harbour Principles sera mis en ligne).

Néanmoins, une solution sera peut-être trouvée par le biais de Trustee, organisme de labellisation dont Toysmart.com était membre. On sait toutefois que Trustee n’a qu’un faible pouvoir de contrainte à l’égard de ses membres et qu’il est naturellement réticent à prononcer une sanction contre un de ses bailleurs de fonds. L’organisme de labellisation n’est toutefois pas content, comme le rapporte Multimédium qui cite un de ses responsables : «il est inacceptable et potentiellement illégal de vendre de l’information sur la clientèle alors qu’elle a été ramassée sous le prétexte qu’elle ne serait pas partagée. C’est une invasion de la vie privée et si des actions ne sont pas prises promptement, le mouvement pourrait se répéter.»

Et en europe ?

La directive européenne 95/46/CE et les lois de transposition édictent un certain nombre de principes de base, dont le principe de finalité :

  • les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes.

  • les données ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l’intéressé et des dispositions légales et réglementaires applicables.

Le débat consiste donc à savoir si la vente des données dans le cadre d’une faillite pour qu’un tiers puisse continuer à les exploiter constitue un traitement compatible avec la finalité d’origine.

A supposer que ce nouveau traitement soit compatible en théorie avec le traitement d’origine, encore doit-il, pour pouvoir effectivement être mis en oeuvre, satisfaire cumulativement à une des hypothèses visées à l’article 7 de la directive :

Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si:

a) la personne concernée a indubitablement donné son consentement
ou
b) il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci
ou
c) il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis
ou
d) il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée
ou
e) il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées
ou
f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1.

Il n’y a guère que l’hypothèse du consentement indubitable qui puisse être invoquée dans le cas qui nous occupe. On rappele néanmoins que ce consentement est défini comme « toute manifestation de volonté, libre, spécifique et informée »
 
Par ailleurs, la revente du fichier implique une communication des données à des tiers, soumise par la loi à un régime spécial. Notamment, l’identité des destinataires doit être renseignée à la personne concernée par le traitement. Mais la revente d’un actif (qui est par essence une universalité), ou mieux encore la revente d’actions (dans laquelle la personnalité juridique du responsable du traitement n’est pas modifiée) constituent-elles une cession à un tiers ? 
 
Nous n’avons pas accès aux données factuelles des cessions en cours ou prochainement envisagées, mais avant d’envisager une revente des fichiers il faudra chaque fois vérifier que les conditions légales de la réexploitation des données personnelles sont rencontrées. Probablement faut-il que les autorités de régulation responsables de la protection des données personnelles prennent position dans ce genre de dossiers, inévitablement appelés à se multiplier.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK